Cyber Security Engineering

Was heißt eigentlich „sicher“? Security ist immer kontext-spezifisch. Während bei Passwörtern beispielsweise Vertraulichkeit wichtig ist, hat Vertraulichkeit keine Relevanz für öffentliche Nachrichten. Bei einer Risikoanalyse werden daher mögliche Angriffspfade identifiziert und das damit verbundene Risiko abgeschätzt. Gemeinsam mit Ihnen entwickeln wir eine Risikobewertung mit priorisierten Schwachstellen, die als Entscheidungsbasis für das Cyber Security Konzept dient.

Auf einen Blick:

• Identifizieren von Gefahrenszenarien
• Modellierung von Angriffsbäumen
• Wiederverwendbare Ergebnisse
• Standard Compliance – bspw. UNECE r155, ISO/SAE 21434, EU Cyber Resilience Act (CRA), IEC 62443

Welche Security Mechanismen müssen implementiert werden? Gemeinsam mit Ihnen entwickeln wir ein Security Konzept mit einer passenden Security-Architektur, um definierte Security Ziele zu erfüllen. Zudem werden Anforderungen an die Implementierung identifiziert und spezifiziert. 

Beispiele:

• Ausspezifizierung von Sicherheitsmechanismen inkl. Integrationskonzepte (bspw. Secure Boot, Secure OTA Updates, Secure Diagnostics)
• Sichere kryptographische Protokolle (bspw. Secure Onboard Communication)
• Kosten / Nutzen Abschätzungen für Sicherheitsmechanismen

Wie werden Security-Mechanismen sicher implementiert? Auch wenn das Sicherheitskonzept und die Spezifikationen sicher sind, können Schwachstellen in der Software die Sicherheit des Systems leicht gefährden. Für die Softwareentwicklung ist daher wichtig, dass nicht nur Software zur Implementierung von Sicherheitsmechanismen, sondern auch die gesamte Software keine Schwachstellen aufweisen und damit gegen Angreifer geschützt ist. Um die Konformität des Codes sicherzustellen, setzen wir dazu „Secure Coding“-Praktiken sowie teilautomatische Code-Analysetechniken ein.

Beispiele:  

• Entwicklung von schlüsselfertigen Sicherheitsmodulen (bspw. Kapselung von kritischem Code/kryptographischen Funktionen)
• Hardware Security Module (HSM) Entwicklung und Integration
• Source Code Reviews

Gibt es Angriffsmöglichkeiten, die bisher übersehen wurden? Zuverlässige Software muss getestet werden – dasselbe gilt für sichere Systeme. Mit modernsten Methoden und Tools werden die Systeme auf Schwachstellen, die von einem Angreifer ausgenutzt werden können, getestet und mögliche Optionen zur Behebung der Schwachstellen aufgezeigt. 

Beispiele:

• Embedded device penetration testing
• Web service backend penetration testing
• Mobile app penetration testing
• IT network penetration testing (OSCP / OSEP -certified)

Wie sicher sind Ihre Produkte? In der Produktentwicklung ist Security ein wichtiges Thema, jedoch bleiben häufig Fragen zur Konzeption und Umsetzung unbeantwortet: Wie viel sollte man investieren, um ein angemessenes Security-Level zu erreichen? Wo fängt man an und welche Schritte sind notwendig? Um hohe Investitionen zu vermeiden, ist eine gute Entscheidungsgrundlage in Form eines Check-ups sinnvoll.

Auf einen Blick:

• Feste Zeitspanne und Preis – Workshop Format möglich
• Flexible Ausgestaltung durch passende Expertenauswahl (Gap Analyse, Prozesse, Produkt, Entwicklungsartefakte usw.)
• Durchführung eines CyberRisikoCheck nach DIN SPEC 27076 für Unternehmen

Nutzen sie unsere Trainings, um ihre Mitarbeiter zu befähigen und ein Cyber Security Mindset zu festigen:

• Basic Training for Cyber Security Engineers
• Secure Coding in C

Unsere Kunden sind zunehmend mit Cyber Security Standards und Regulierungen konfrontiert. Um Konformität zu gewährleisten, muss Cyber Security in Produkte integriert werden aber auch über deren Lebenszeit überwacht sowie in der Organisation verankert werden. In vielen Fällen sind die Auswirkungen der Regularien/Standards jedoch noch unklar. Mögliche Gründe können fehlende Informationen oder Erfahrungen mit dem Thema Cyber Security sein, insbesondere hinsichtlich Verantwortlichkeiten, Anforderungen von Zertifizierern, nötigen Vorlaufzeiten, Aufwänden oder Kosten. Eine Cyber Security Strategie ist nötig, um die anstehenden Entscheidungen zielgerichtet treffen zu können und sich robust aufzustellen.

Auf einen Blick:

• Compliance zu Regularien – bspw. UNECE r155, EU Cyber Resilience Act (CRA), EU Radio Equipment Directive (RED) etc.
• Organisationsweite Strategie zur Integration von Cyber Security im Unternehmen
• Begleitung, Planung, Durchführung von Zertifizierungsprozessen (inkl. Milestone plan, Komplexitäts-/ Kostenabschätzung, Kommunikation mit Zertifizierungsstellen)

Neben der Umsetzung von Security im Produkt müssen zudem Cyber Security Prozesse und Methoden im Unternehmen etabliert werden, um reproduzierbare Ergebnisse zu erhalten. Basierend auf unserer Erfahrung in der Kundenlandschaft zu Cyber Security Engineering Prozessen unterstützen wir Sie bei der Etablierung neuer Sicherheitsprozesse und -methoden. Dabei berücksichtigen wir selbstverständlich individuelle Anforderungen, technischen Rahmenbedingungen und bestehende Prozesse.

Beispiele:

• Beratung zu Prozessen (bspw. auf Basis von Anforderungen in ISO/SAE 21434 oder IEC 62443)
• Risikoanalyse Methodik
• Security Testing Prozess und Methodik
• Vulnerability management
• Supplier management
• Cyber Security Assessments

Mit neuen Regulierungen wie der UNECE r155 oder dem EU Cyber Resilience Act rückt die ständige Überwachung, Analyse und Reaktion auf Sicherheitsvorfälle im Produktlebenszyklus sowie der unterstützenden Infrastruktur in den Fokus. Mit dem Umfang der Anforderungen aus den Vorschriften reichen die einzelnen und nicht integrierten Aktivitäten in Organisationen möglicherweise nicht aus, um diese Anforderungen zu erfüllen. In der Regel ist die Planung und Implementierung eines Security Operation Centers (SOC) eine gute Investition, um einzelne Aktivitäten zu strukturieren und sich an die Vorschriften anzupassen. Wir können Ihnen helfen, Lücken zu identifizieren und unterstützen Sie dabei, einen Plan – der auf Ihre Organisation zugeschnitten ist – zu entwickeln und auch umzusetzen.

Auf einen Blick:

• Identifikation der wichtigsten Anforderungen für einen auf Ihr Unternehmen zugeschnittenen Cyber Security Monitoring Ansatz
• Unterstützung bei Audits, Gap-Analysen und Prozessverbesserungen Ihrer bestehenden Monitoring-Strukturen
• Bewertung der technischen Angebote von SOC-Anbietern zur Erfüllung der Unternehmensanforderungen
• Bewertung der Anforderungen an Threat Intelligence, Vulnerability Management, Risikomanagement und Incident Management
• Unterstützung bei der Analyse und Risikominderung von Schwachstellen und Vorfällen